technique:adminsys:ldap:add_people

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
Prochaine révisionLes deux révisions suivantes
technique:adminsys:ldap:gestion [2020/09/08 18:29] qduchemitechnique:internal_serv:ldap:add_people [2021/01/20 17:52] – ↷ Page déplacée de technique:adminsys:ldap:add_people à technique:internal_serv:ldap:add_people qduchemi
Ligne 1: Ligne 1:
 {{indexmenu_n>20}} {{indexmenu_n>20}}
  
-# Ajout d'une personne+# Ajout d'un compte utilisateur
  
 Cette page suppose que vous êtes [[technique:adminsys:ldap:utilisation|connecté au serveur LDAP avec le compte d'administration]]. Cette page suppose que vous êtes [[technique:adminsys:ldap:utilisation|connecté au serveur LDAP avec le compte d'administration]].
Ligne 7: Ligne 7:
 Toutes les personnes autorisées à accéder aux services ou aux machines se trouvent sous `ou=People`. Toutes les personnes autorisées à accéder aux services ou aux machines se trouvent sous `ou=People`.
  
-La manière la plus simple d'ajouter une personne est de créer une copie d'une personne déjà existante (clic droit puis «Copy Entry/DN»). Pensez à vérifier chaque attribut et le mettre à jour si besoin !+La manière la plus simple d'ajouter une personne est de créer une copie d'une personne déjà existante (clic droit puis « Copy Entry/DN »). Pensez à vérifier chaque attribut et le mettre à jour si besoin !
  
 ## uidNumber/gidNumber ## uidNumber/gidNumber
Ligne 16: Ligne 16:
  
 ```bash ```bash
-ldapsearch -H ldaps://ldap.picasoft.net:637 -b dc=picasoft,dc=net -D cn=admin,dc=picasoft,dc=net -W | grep uidNumber | cut -d ':' -f 2 | sort+ldapsearch -H ldaps://ldap.picasoft.net:636 -b dc=picasoft,dc=net -D cn=admin,dc=picasoft,dc=net -W | grep uidNumber | cut -d ':' -f 2 | sort
 ``` ```
  
Ligne 26: Ligne 26:
 * 500 (`tech`): donne accès au groupe `docker` sur les VMs, permet d'administrer les conteneurs * 500 (`tech`): donne accès au groupe `docker` sur les VMs, permet d'administrer les conteneurs
 * 501 (`admin`): donne accès aux groupes `docker` et `sudo` sur les VMs * 501 (`admin`): donne accès aux groupes `docker` et `sudo` sur les VMs
- 
-Si la personne est un représentant de l'association (voir [[asso:administratif:registre|les statuts]]), on ajoutera un attribut `uidNumber` à l'entrée `ou=Groups,cn=representant`, qui vaut son UID (e.g. `amaldona`). Cette manipulation donne quelque chose comme : 
- 
-{{ :technique:adminsys:ldap:2020-09-08_18-22-13.png?nolink&500 |}} 
- 
-Le groupe `representant` est utilisé par certains services, comme le Wiki, pour donner acc 
  
 ## Date d'expiration ## Date d'expiration
Ligne 56: Ligne 50:
 * `sn` : Nom de famille * `sn` : Nom de famille
 * `mail` : Adresse mail * `mail` : Adresse mail
 +
 +## Mot de passe
 +
 +Via l'attribut `userPassword`. La méthode hash sélectionnée doit être `SSHA`. Soit l'utilisateur entre directement son mot de passe, soit on génère un mot de passe sécurisé et on lui envoie en lui demandant de le changer.
 +
 +Les personnes ayant accès aux machines peuvent mettre à jour leur mot de passe via la commande `passwd`. Les personnes n'ayant pas accès aux machines peuvent utiliser le wiki ou le Cloud pour pouvoir mettre à jour leur mot de passe.
  
 ## Accès aux machines ## Accès aux machines
  
 +Pour que le compte puisse se connecter aux machines (en SSH), il faut rajouter quelques attributs.
 +
 +L'attribut `host` peut être spécifié plusieurs fois, et contiendra l'une des valeurs suivantes :
 +
 +* `pica01`
 +* `pica02`
 +* `pica01-test`
 +* `monitoring`
 +* `*`, ce qui est un raccourci pour donner l'accès à toutes les machines.
 +
 +L'attribut `sshPublicKey`, qui peut également être dupliqué, contiendra les clés publiques SSH de l'utilisateur qui sont autorisées à établir une connexion. Il s'agit en général du contenu du fichier `~/.ssh/id_rsa.pub` sur la machine de l'utilisateur.
 +
 +Enfin, on ajoutera l'attribut `homeDirectory`, qui vaut par convention `/home/users/<uid>`, et qui correspond au `$HOME` de l'utilisateur.
 +
 +## Accès aux services reliés au LDAP
 +
 +Le simple fait d'avoir une entrée sous `ou=People` permet généralement d'accéder aux services reliés au LDAP (comme le wiki ou le Cloud). Tout ceci dépend de la configuration du service en question, donc on ne peut pas faire de généralités.
  
 +Les services nécessitant une autorisation spéciale utilisent l'attribut `authorizedService`, qui peut être dupliqué autant de fois que nécessaire et contient une valeur arbitraire utilisée par le service (e.g. `cloud` ou `wiki` - ce ne sont que des exemples, le wiki n'a pas besoin d'autorisation spéciale).
  
-## Changement du mot de passe par la personne elle-même+On peut aussi utiliser la valeur `*`, qui indique que l'utilisateur a accès à tous les services nécessitant une autorisation spéciale.
  
-Les personnes ayant accès aux VMs peuvent mettre à jour leur mot de passe via la commande `passwd`. Les personnes n'ayant pas accès aux VMs ont besoin d'un accès au wiki pour pouvoir mettre à jour leur mot de passe (bouton en haut à droite puis «Mettre à jour le profil»).+Notez bien que cet attribut ne donne en soi accès à rien : c'est aux services eux-mêmes de vérifier la valeur de cet attribut lors de la connexion, et de l'accepter ou non.
  • technique/adminsys/ldap/add_people.txt
  • de qduchemi